Huis van Afgevaardigden VS verbiedt WhatsApp op werkapparaten van medewerkers

Amerikaanse overheidsmedewerkers die betrokken zijn bij het Huis van Afgevaardigden mogen WhatsApp niet meer op hun werkapparaten hebben staan. De chatdienst wordt gezien als een hoog veiligheidsrisico.

De chief administrative officer van het Amerikaanse Huis van Afgevaardigden, Catherine Szpindor, heeft het verbod op WhatsApp aangekondigd in een e-mail die Axios en Reuters hebben ingezien. Daarin schrijft ze dat de chatdienst als 'hoog risico' voor gebruikers wordt beschouwd, vanwege 'een gebrek aan transparantie over de bescherming van gebruikersgegevens, de afwezigheid van at rest versleuteling en potentiële veiligheidsrisico's die gepaard gaan met het gebruik ervan'.

Werknemers die voor het Amerikaanse equivalent van de Tweede Kamer werken mogen de app niet meer op hun werktelefoon of -computer gebruiken. Als WhatsApp al geïnstalleerd is, moet de applicatie verwijderd worden. De cao raadt als alternatieve opties Teams, Wickr, Signal, iMessage en FaceTime aan.

Een woordvoerder van WhatsApp-moederbedrijf Meta laat aan Axios weten het 'in de sterkst mogelijke bewoordingen' oneens te zijn met het besluit van Szpindor. "WhatsApp-berichten zijn standaard end-to-end versleuteld. Dat is een betere beveiliging dan de meeste apps die wel worden goedgekeurd door de cao."

IT-banen

Reacties (79)

Lisadr 23 juni 2025 18:30

Zouden ze in Nederland ook mogen doen!

ShadLink @Lisadr • 23 juni 2025 20:03

Ze zouden gewoon de telefoon helemaal in de tweede kamer moeten verbieden. Net zoals op scholen.

blazez @ShadLink • 23 juni 2025 22:03

Tijdens een rondleiding in de (oude) tweede kamer werd verteld dat achterin de zaal mensen zitten met contacten naar de buitenwereld die dingen opzoeken etc (heel kort door de bocht) zodat de kamerleden (die in zicht zitten) direct van informatie voorzien kunnen worden over onderwerpen waar op dat moment opmerkingen over gemaakt kunnen worden.
Dar gebeurd dus via de telefoons.
Voor de rest van het land komt men dan niet verder helaas dan dat die kamerleden een beetje zitten te facebooken.

CrazyBernie @blazez • 24 juni 2025 10:09

Toen er nog geen telefoons waren er ook debatten en die waren zeker qua kwaliteit veelal beter omdat er niet op alles en iedereen gelet werd buiten de kamer. Dus ik vind het totaal geen argument, wat mij betreft gewoon geen digitale hulp middelen in de kamer. Maakt dossier kennis belangrijker en zal uiteindelijk voor meer inhoud zorgen.

blazez @CrazyBernie • 24 juni 2025 11:19

Dan moet je ook terug naar de oude "Dat moet ik eerst opzoeken", "Daar kom ik later op terug"en meer van dat soort dingen.
Plus niet volledig op de persoon spelen als iemand niet alle complete details van een bepaald dossier kent (wat dat is compleet onmogelijk, zeker gezien de complexiteit van de dossiers tegenwoordig).
Als iemand niet exact weet dat er drie weken geleden om vier minuten over half drie tussen stoel 1 en 2 gezegd is en gedacht is wordt er meteen vol op gesprongen door populair doende kamerleden die niet verder komen dan simpele one-liners. Plus niet te vergeten de complete media en alle stuurlui die aan wal staan die het allemaal beter weten (omdat ze dat digitaal direct kunnen opzoeken).
Digitale hulpmiddelen zijn er en zullen nou eenmaal gebruikt worden. We gaan met zn allen ook niet terug naar paard en wagen bijvoorbeeld. Kliinkt flauw, maar is wel zo.

CrazyBernie @blazez • 24 juni 2025 12:14

Er zijn zat voorbeelden waarbij we terug naar het oude gaan omdat het modernere alternatief helemaal niet zo effectief blijkt.
Kantoor tuinen zijn inmiddels bewezen negatief voor de productiviteit dus veel bedrijven gaan weer terug naar het ouderwetse kantoortje met 2 of 3 mensen erin.
Autos op turbines zijn ook weer verdwenen omdat ze niet effectief bleken.
Scholen die hun gebruik van digitale leer middelen beperken en mobiele telefoons innemen blijken effectiever te zijn dan moderne scholen en hun methodes.

En dat oude met moet ik eerste opzoeken is helemaal niks mis mee, zal waarschijnlijk zorgen voor betere en doordachtere antwoorden. Het betekent inderdaad dat complexe dossiers niet zo makkelijk behandeld kunnen worden , maar we moeten ons misschien ook de vraag stellen of die complexe wetgeving en dossiers wel zo behulpzaam zijn voor ons als gehele maatschappij.

Lisadr @blazez • 24 juni 2025 10:13

Klopt. De mensen achter de schermen richten zich op inhoud, omdat wij veel Kamerleden hebben zonder inhoudelijke kennis over de dossiers waar ze verantwoordelijk voor zijn.

Het werkte voor smartphones ook en had als voordeel dat Tweede Kamerleden ook inhoudelijke kennis moesten hebben en zich moesten verdiepen in de onderwerpen waar ze over gingen. Hierdoor waren minder bezig met de waan van de dag.

blazez @Lisadr • 24 juni 2025 11:25

Eerlijk is eerlijk, niemand is in staat alle details van de complete dossiers uit z'n hoofd te kennen. dat kan je werkelijk niet van iemand verwachten. Vroeger niet en nu ook niet. Vroeger zou men dan aangeven op een later tijdstip op vragen terug te komen. Vandaag de dag verwacht (eist) men direct een inhoudelijke reactie. En kom je niet met een inhoudelijke reactie omdat je dat 5000 pagina's tellende dossien niet woordelijk uit je hoofd kent, dan zal menig populair politicus (vaak met eenvoudig te begrijpen one-liners) meteen de aanval inzetten in plaats van normaal een gesprek aan te gaan en een oplossing bespreken.

Minder bezig zijn met de waan van de dag en vanuit de kamer meer bezig zijn met twitter berichten dan met de inhoudelijke debatten, daar ben ik het geheel met je eens. Dat zou echt moeten stoppen. Maar teruggrijpen op papieren dossiers is natuurlijk van de zotte (zeker om voor te stellen op een tech site, maar dat is een andere discussie).

Woudloper @Lisadr • 24 juni 2025 10:04

Ja en nee. Het gaat hierin niet alleen over WhatsApp, maar denk ik ook over het eigenaarschap door Meta. De zorgen die er nu zijn gaan voornamelijk over de metadata, maar ook over het gebrek aan controle binnen zakelijke of overheidscontexten. Vind alleen dat de gemelde alternatieven óók niet zaligmakend zijn. Elk alternatief komt met zijn eigen sterktes en zwaktes. Hieronder een vergelijking van een aantal populaire alternatieven:

Microsoft Teams: Sterke integratie met M365 / Geen pure messaging-app
Amazon Wickr: Zero-trust beveiliging / Beperkte gebruikersadoptie
Signal: Open-source en privacyvriendelijk / Niet geschikt voor centraal beheer
iMessage: Goede beveiliging binnen Apple-ecosysteem / Niet bruikbaar op niet-Apple apparaten
FaceTime: Versleutelde video/audio / Geen archiverings- of beheeropties

Er is geen universeel veilig én gebruiksvriendelijk alternatief voor WhatsApp dat in alle situaties toepasbaar is. De keuze hangt sterk af van het doel (zakelijk vs. privé), compliance-eisen, technische infrastructuur en gebruikersacceptatie. Men moet in de overheden stoppen met het klakkeloos gebruiken van consumentenapps zoals WhatsApp! Dat is in deze tijd gewoon niet meer verdedigbaar. Daarentegen zorgt elke overstap vereist meer dan alleen een andere app. Er dient hiervoor gewoon goed beleid aan ten grondslag liggen, niet ineens een stel-op-sprong actie.

[Reactie gewijzigd door Woudloper op 24 juni 2025 10:12]

NoUser

@Woudloper • 24 juni 2025 10:51

Eventueel Threema

Tintel

Politiek en recht

@Woudloper • 24 juni 2025 10:57

Het punt is dat een systeem gebruikt wordt wat niet volledig in eigen beheer valt. Natuurlijk kost het meer moeite (en dus ook geld) om een systeem op te zetten in eigen beheer. Maar ik mag hopen dat ze een eigen mailserver gebruiken. Dus het kan zeker wel.

Wel mooi dat ook de US, systemen die van eigen bodem komen gaat wantrouwen (want het leek erop dat ze dachten dat het gevaar alleen vanuit China kwam).

FeareX 23 juni 2025 18:29

Ergens is het sowieso bijzonder dat het mag. Ook in NL. Je wilt zelf goed weten of de communicatie echt veilig is.

Ben benieuwd! Meta krijgt wel wat klappen zo de laatste tijd.

wow7 @FeareX • 23 juni 2025 19:06

En de context van het bericht ontbreekt compleet namelijk "In januari verklaarde een WhatsApp-functionaris dat het Israëlische spywarebedrijf Paragon Solutions tientallen gebruikers van de app had aangevallen, waaronder journalisten en leden van het maatschappelijk middenveld."

Je snapt dat je in de huidige situatie beter afstand kan doen van WhatsApp voor de tijd die het duurt.

Whatsapp kan natuurlijk schreeuwen hoe veilig alles wel niet is maar daar win je geen zieltjes mee als men weet dat er van buiten af word aangevallen ondanks dat het een bondgenoot is.

Paragon Solutions is een Israëlisch spywarebedrijf dat in 2019 is opgericht en bekend staat om zijn spyware genaamd Graphite, die in staat is om toegang te krijgen tot versleutelde communicatie zoals WhatsApp en Signal.

Skit3000

@wow7 • 23 juni 2025 19:51

Dat bedrijf heeft waarschijnlijk tientallen miljoenen uitgegeven om enkele tientallen mensen te bespioneren. Waarschijnlijk waren ze op andere manieren goedkoper uit geweest én hadden ze berichten van meer mensen kunnen lezen (denk aan het omkopen van een aantal ontwikkelaars van WhatsApp voor een miljoen p.p.). Dat het nu toevallig een Israëlisch bedrijf was heeft er dus weinig mee te maken, en heel bang hoef je ook niet te zijn voor een organisatie die zo veel geld over heeft om zo gericht slechts een klein aantal mensen af te luisteren. Ik zou me eerder zorgen maken om bijvoorbeeld de ontwikkelaar van de drivers voor je monitor of toetsenbord en waar een indringer code aan heeft toegevoegd om communicatie door te sluizen.

slowdive @Skit3000 • 23 juni 2025 20:10

Hoe zou een ontwikkelaar van Meta kunnen meelezen bij een end-to-end versleuteld protocol?

MooDyBLueS @slowdive • 23 juni 2025 20:35

Heel simpel: de methode die WhatsApp gebruikt zorgt ervoor dat data in transit versleuteld is, maar at rest niet. Dus wat op je apparaat staat (cache) is niet versleuteld en kan dus door Meta ingezien worden.

Daarnaast de altijd leuke vergelijking, die in dit geval extra hilarisch is gezien de naam van het moederbedrijf: Als ik weet dat Piet een drugsdealer is en ik weet dat Karel met Piet gesproken heeft en ik weet ook dat beide telefoons voor zeg 2 minuten bij elkaar in de buurt waren, dan kan ik zelfs zonder dat ik weet wat er in die berichten stond weten wat er heeft plaatsgevonden. Meta verzamelt namelijk ontiegelijk veel data zoals wie je bent, je contacten, waar je bent, hoe lang je daar was, koppelt dat aan je profielen op Instagram en Facebook en nog veel meer zoals de recent bekend gemaakte training van hun AI met de openbare berichten op die platformen.

WoutervOorschot

@MooDyBLueS • 23 juni 2025 21:46

Meta kan altijd bij de data, ook als het at rest versleuteld zou zijn, zij beheren immers de app waarmee je het bekijkt. Gezien ze die beheren is een sidechannel-attack gewoon een nieuw stukje code.

Dat wilt niet zeggen dat whatsapp onveilig is, het is maar net wie je vertrouwd.

DiaZ_1986 @MooDyBLueS • 24 juni 2025 11:03

Piet: Hey Karel, wat toevallig dat ik jou nu tegenkom in de trein, lang niet gesproken, hoe gaat het?

Karel: Nou Piet, Ik zal je eens vertellen wat ik nu weer heb meegemaakt. Weet je nog toen [ ... ]

Zo gaat het gesprek de gehele treinrit. Wat is er dan gebeurt tijdens deze treinrit? Omdat ze met elkaar gesproken hebben is het direct duidelijk dat ze drugs hebben verhandeld? Of dat ze elkaar "toevallig" tegenkwam op de zelfde plek?

Dat is ook de fout die AI voornamelijk (blijft) maken waar we ontzettend voor moeten oppassen. Dat iets aannemelijk is is nooit (en mag nooit) een bewijs dat dat ook daadwerkelijk heeft plaats gevonden. Waar is "onschuldig tot het tegendeel bewezen is" gebleven?

* Iets met correlatie en causaliteit

Pinkys Brain @MooDyBLueS • 23 juni 2025 21:13

Als ik de volgende paper lees dan is er zo te zien behalve wat metadata leaks niks beschikbaar voor je inlogged.

https://fidi.mlsec.org/docs/2019b-ares.pdf

klakkie.57th @slowdive • 23 juni 2025 20:30

Compileer jij je eigen “whatsapp” binary ?
Ik alvast niet. Ik heb dan ook heb enkel idee wat er op de achtergrond gebeurd.

Skit3000

@slowdive • 23 juni 2025 20:51

Het kan zijn wat de andere Tweakers al aangeven, of nog iets meer verborgen waarbij de WhatsApp ontwikkelaar op verzoek een naar het lijkt legitieme externe library gebruikt om iets mee te doen, terwijl de opdrachtgever al de controle heeft over die library. Zij kunnen dan een jaar later in die library een wijziging maken die bijvoorbeeld een buffer overflow veroorzaakt en zo delen van het geheugen kan lezen die normaal niet toegankelijk zijn (zoals de klare tekst van een conversatie) en die heimelijk doorsluizen naar een eigen server.

Alfa1970 @slowdive • 24 juni 2025 00:35

De meeste zogenaamde end-to-end encryptie oplossingen zijn gebaseerd op TLS encryptie.
TLS is vrij gemakkelijk te omzeilen, daar zijn meerdere commerciële producten voor die de wereld niet kosten.

De enige echte uitdaging is om ervoor te zorgen dat je ergens in het pad van de communicatie zit en dat je de gehele berichtenstroom kan zien.

Maar als je Meta bent, en je beheert zelf het netwerk omdat dat jouw netwerk is, dan is dat natuurlijk een koud kunstje.

svane @Alfa1970 • 24 juni 2025 09:56

Dat zijn hele sterke beweringen die wel wat onderbouwing kunnen gebruiken.

TLS is volgens mij absoluut niet 'makkelijk' te omzeilen. En zeker niet bij goede/moderne implementaties. Anders zou je bij elke publieke hotspot gevaar lopen. Het hele idee van TLS is dat een man in the middle er niks mee kan...

Alfa1970 @svane • 25 juni 2025 00:36

Het hele probleem met TLS is dat iedereen het de hemel in prijst zonder te begrijpen wat het is en wat het doet.
Een man in the middle is zéér simpel met TLS.
Er is technisch en feitelijk niets dat dit tegenhoudt.
De enige uitdaging die je hiermee hebt is dat dit zichtbaar is voor de gebruiker, je krijgt namelijk een ander certificate dan die van de site die je bezoekt. Maar zo lang dit een valide, signed certificate is, is de waarschuwing daarvoor niet zo heel erg opvallend.

Er is echter nog een andere technologie beschikbaar die je kan inzetten bij het omzeilen van TLS, en dist is wat ik noem een "man on the side".

Hiermee wordt je verkeer gekopieerd en met een tweede connectie naar de server wordt al je verkeer geschaduwd. Echter bij deze variant ziet de gebruiker er niets van, die heeft namelijk een volledige end-to-end encrypted connectie met de server zonder dat die onderbroken wordt.

Echter het verkeer op de gekopieerde sessie naar de server wordt wel onderschept alsof het een man in the middle is, maar dat deel gaat de gebruiker niet zien.

Het "nadeel" van die methode is dat je niets kan veranderen aan het verkeer, je kan niet rechtstreeks ingrijpen op de data.
Bij een man in the middle kan dat wel, daar kun je de data aanpassen voordat het naar de server wordt verzonden.

Maar als het je doel is om informatie te verkrijgen, dan is de gekopieerde sessie een prima oplossing.
Er zijn diverse commercieel verkrijgbare "ssl visibility" oplossingen die dit principe toepassen.
Voor een normaal persoon is dit soort oplossingen prijzig, maar voor een 30-40k dollars ben je de koning van SSL/TLS.

svane @Alfa1970 • 25 juni 2025 11:48

Ik moet zeggen dat de beweringen steeds sterker worden, maar dat het gebrek aan enige bronnen geen vertrouwen opwekt.

Er is technisch en feitelijk niets dat dit tegenhoudt.
De enige uitdaging die je hiermee hebt is dat dit zichtbaar is voor de gebruiker, je krijgt namelijk een ander certificate dan die van de site die je bezoekt. Maar zo lang dit een valide, signed certificate is, is de waarschuwing daarvoor niet zo heel erg opvallend.

Mag ik vragen welke browser je gebruikt? Kijk eens naar dit screenshot. Van links naar rechts: Chrome, Firefox, Safari.

https://imgur.com/a/DCtJgIE

Vind jij écht dat deze waarschuwingen 'niet zo heel erg opvallend' zijn? In Chrome en Firefox kán je niet eens doorklikken naar de phishing site vanwege HSTS. Zoals je aan de waarschuwing kan zien (net::ERR_CERT_COMMON_NAME_INVALID) is het certificaat wel geldig, maar voor de verkeerde domeinnaam. https://imgur.com/a/1B1GiUm

De bewering dat een 'man-in-the-middle' attack 'zéér simpel' en niet erg opvallend is, is dus aantoonbaar niet waar.

Het kopiëren van encrypted data is inderdaad wél mogelijk (als je controle hebt over de internetverbinding). Je hebt echter zeer weinig aan deze data, omdat het encrypted is. Je kan het niet veranderen, je kan het niet inzien, je kan er vrijwel niks mee. En nee, 'ssl visibility' tools die dit kunnen decrypten bestaan (voor zover bekend) niet. En al helemaal niet voor maar 30-40k. Een tool die TLS kan breken zou eerder miljarden waard zijn.

Wat wel bestaat, zijn tools die TLS verkeer kunnen inzien, door gebruikers (nep)-certificaten te laten installeren/accepteren op hun computers. Dit doe je niet zo maar ongemerkt...
Wat er gebeurt bij ssl visibility is dat je verkeer opzettelijk verstuurt naar een MITM server die het verkeer met hun eigen key decrypt. Vervolgens encrypt die de data weer en stuurt het door naar de server waar de gebruiker verbinding mee wil maken. TLS wordt hier niet omzeild, maar er worden simpel weg twee TLS verbindingen gemaakt. (1. van gebruiker naar ssl-visibility-server, 2. van ssl-visibility-server naar de uiteindelijke server). In deze situatie geef jij (of je werkgever op je werklaptop) expliciet toestemming aan de ssl-visiblity-server om jouw verbinding te decrypten. Je moet hier immers een nieuwe CA voor installeren.

Wikipedia: Deep packet inspection

With increased use of HTTPS and privacy tunneling using VPNs, the effectiveness of DPI is coming into question.[60] In response, many web application firewalls now offer HTTPS inspection, where they decrypt HTTPS traffic to analyse it.[61] The WAF can either terminate the encryption, so the connection between WAF and client browser uses plain HTTP, or re-encrypt the data using its own HTTPS certificate, which must be distributed to clients beforehand

Je kan niet zomaar een machine aan je internetkabel hangen die al het verkeer decrypt, dat bestaat simpelweg niet. Als TLS zo makkelijk te breken was zou dat wereldnieuws zijn, geloof mij maar.

Mocht je nog steeds denken dat ik er naast zit, zou ik graag een écht voorbeeld zien van een manier om TLS te breken.

Alfa1970 @svane • 25 juni 2025 19:22

Een self signed, untrusted certificate valt inderdaad heel erg op. Een valide signed certificate daarintegen niet zo heel erg, dan moet je echt op het certificate zelf gaan kijken om te zien dat dit van een andere bron komt.

En kijk voor de grap eens bij Symatec/Broadcom voor een SSL Visibility appliance.

Ik weet de huidige prijzen niet, het is erg lang geleden dat we dit deden.

svane @Alfa1970 • 26 juni 2025 11:58

Nee, dit was geen self-sigend certificate. Dit is een geldig certificaat voor "*peg.a2z.com". Een domein van Amazon.

Een waarschuwing over een self-signed, untrusted certificate ziet er zo uit.

Het verschil zit in Chrome die "NET::ERR_CERT_AUTHORITY_INVALID" als error geeft in plaats van "NET::ERR_CERT_COMMON_NAME_INVALID"

Persoonlijk vind ik beide waarschuwingen niet bepaald 'onopvallend', of jij wel?
Vandaar mijn vraag over welke browser gebruikt, het lijkt er namelijk op dat je dit gewoon helemaal niet zelf geprobeerd hebt.

En kijk voor de grap eens bij Symatec/Broadcom voor een SSL Visibility appliance.

Ik zou aanraden daar zelf eens voor de grap te kijken.

Clients are typically configured to trust the HSM signing key certificate,

De client (jouw pc / laptop / telefoon) moet dus geconfigureerd zijn om het certificaat van Symatec/Broadcom te accepteren. Dit heeft, wederom, niks te maken met het omzeilen van TLS. De client encrypt de data zelf met een key die bekend is bij de man in the middle.

Dit is hetzelfde als zeggen dat sloten niet veilig zijn, omdat mensen kunnen inbreken als ik hun de sleutel geef.

Wederom:

Er is geen bekend beveiligingsprobleem met TLS dat een man in the middle attack mogelijk maakt
Browsers laten hele duidelijke waarschuwingen zien, en houden je vaak überhaupt tegen om de site te bezoeken (tenzij je HSTS uitzet)
SSL visibility tools werken alleen maar als de client hier speciale certficaten voor installeert.
Een tool die TLS breekt zou wereldschokkend nieuws zijn. Deze tools kan je écht niet kopen voor een prikkie.

Ik weet dat ChatGPT geen bron op zichzelf is, maar het is wel goed in het uitleggen van dingen. Mocht je iets willen bijleren is dat een goede manier. Ook daar wordt gezegd:

Je moet vaak root-CA-certificaten installeren op alle clients om dit mogelijk te maken.

Dus nee, TLS wordt wel degelijk terecht de hemel in geprezen

Alfa1970 @svane • 27 juni 2025 21:22

Ok, dus als ik het goed begrijp, voor mijn.ing.nl presenteerde je een certificate van *peg.a2z.com.

Dan krijg je daar idd een dikke foutmelding voor.

De manier waarop de in-line (man-in-the-middle) variant werkt is door gebruik te maken van een dynamisch certificate dat wordt gesigned door het certificate dat je op het device neer zet.

Je geeft dat ook zelf aan. In normale bedrijfsomgevingen heb je vaak wel een CA en daar kan je ook een subordinate CA van krijgen voor de SSL decryptie. maar die CA zelf heeft meestal een self-signed certificate, en dat breekt de trust chain.

Echter, een subordinate CA die een geldige trust chain heeft kan zelf dynamisch een geldig SSL certificate aanmaken voor mijn.ing.nl, en dan krijg je in je browser gewoon een groen vinkje.

In dat geval is de enige manier waarop je kan zien dat er iets tussen zit dat er niet tussen hoort te zitten is door het certificate zelf te bekijken.

In de meeste bedrijven wordt het issue van de self signed CA inderdaad zoals je aangeeft opgelost door het CA certificate naar alle browsers in het netwerk te pushen.

Voor een bedrijf als Meta is dat niet nodig. Die hebben een CA met een geldige trust chain die hoeven dus niets naar browsers te pushen.

De 2e vorm van decryptie wordt via een tap of trunc poort gedaan. Dat is "passieve" decryptie en gebeurt niet in-line. Het verkeer tussen de browser en de server wordt deels gekopieerd en er wordt een 2e pad geopend naar de server. Dit werkt maar is beperkt. Het verkeer tussen de browser en de server wordt niet onderbroken en derhalve kan de gebruiker er niks van zien. Maar op de achtergrond wordt in de 2e lijn voor de decryptie gezorgt.

Wij gebruikten het in combinatie met anti-virus. Daarbij wordt laatste response pakket van de server op het in-line pad vastgehouden totdat de decryptie en anti-virus scan in het 2e pad klaar was, en in geval van een virus detectie werd er een RST verzonden in het hoofdpad, en alles wat de browser tot dan toe had ontvangen werd dan weggegooid. Was het verkeer schoon werd het laatste pakket doorgestuurd en was de download compleet. For all purposes being, web pagina's worden in deze opstelling gewoon als bestanden gezien en behandeld.

Deze vorm zát in de SSL visibility appliance (iig in versie 1.x) vandaar dat ik ernaar linkte. Maar blijkbaar heeft Broadcom dat eruit gesloopt.

Over deep packet inspection weet ik niets. Ik ken alleen de proxy kant van het verhaal.

In mijn ogen is en blijft TLS overhyped.

Die_ene_gast @slowdive • 24 juni 2025 09:17

Uiteindelijk wordt het ontsleuteld binnen hun app.
Ook zouden ze bij ieder gesprek een 2e sleutel kunnen toevoegen, een soort groepsgesprek ervan maken.

HuisRocker @Skit3000 • 24 juni 2025 09:00

Dat bedrijf heeft waarschijnlijk tientallen miljoenen uitgegeven om enkele tientallen mensen te bespioneren.

Paragon maakt de spyware, allerlei 'crimineel tuig' (waaronder ook overheden, wereldwijd) koopt en gebruikt die zooi. Het is (helaas) met zekerheid lucratief en effectief.

Waarschijnlijk waren ze op andere manieren goedkoper uit geweest én hadden ze berichten van meer mensen kunnen lezen (denk aan het omkopen van een aantal ontwikkelaars van WhatsApp voor een miljoen p.p.).

Het gaat juist om gericht te kunnen aanvallen, degene die dit soort spyware gebruiken zijn alleen geïnteresseerd in 'enkele specifieke doelwitten', niet 'Jan en alleman'.

Dat het nu toevallig een Israëlisch bedrijf was heeft er dus weinig mee te maken, ...

Het is zeker niet "toevallig" dat Paragon Israëlisch is! Weinig landen waar spionage (verhoudingsgewijs) zo groot is als Israël...

Skit3000

@HuisRocker • 24 juni 2025 10:43

Volgens ligt spionage in China, Rusland, Iran en Noord-Korea op minstens eenzelfde niveau en worden in deze landen grootschalig bij elkaar honderden miljoenen mensen in de gaten gehouden. Het verschil is alleen dat overheden terughoudend zijn om dergelijke diensten van deze landen af te nemen.

Verder kan je bijna zeggen het een bedrijf als Paragon siert dat zij zich slechts richten op specifieke individuelen. Maar, het blijft dus staan dat je eenzelfde iets kunt bereiken voor veel minder geld. Ik bedoel; geef een paar miljoen euro aan de degene die de mobiele telefoons van onze regeringsleden beheert, laat die persoon malware installeren en je kunt live met alles meeluisteren. Het is niet voor niks dat minister president Schoof een verbod op telefoons bij de ministerraad heeft ingesteld, hij snapt ook wel dat daar infiltreren een van de makkelijkste dingen is die een aanvaller voor elkaar kan krijgen.

HuisRocker @Skit3000 • 24 juni 2025 11:40

Volgens ligt spionage in China, Rusland, Iran en Noord-Korea op minstens eenzelfde niveau ...

China, Rusland, Iran en Noord-Korea zijn dictaturen die hun eigen bevolking massaal in de gaten houden, dat is technisch gezien nauwelijks nog 'spionage' te noemen, het is eerder openlijke massa surveillance, omdat letterlijk iedereen, zowel in die landen als daarbuiten, dat inmiddels wel weet (of minimaal zou kunnen en/of moeten weten, er zullen uiteraard altijd mensen zijn die 'onder een steen leven').

Spionage, zoals waar Paragon producten voor verkoopt en zoals Israël wereldwijd het doet, zijn altijd zonder medeweten van de slachtoffers. Groot verschil! In die vorm is Israël (relatief) duidelijk wereldkampioen gezien het zeer kleine land en aantal inwoners (10 miljoen inwoners, oppervlakte; de helft van Nederland).

Skit3000

@HuisRocker • 24 juni 2025 13:39

Ik lees tussen jouw zinnen door dat het woord "Israel" je triggered en dat deze software en het gebruik ervan daarom voor jou omstreden zijn. De Nederlandse overheid luistert ook mensen af met andere technieken, maar dat is minder erg en valt niet onder 'crimineel tuig' want die zijn niet van Israëlische komaf?

HuisRocker @Skit3000 • 24 juni 2025 15:45

Misschien moet je mijn post nog eens goed lezen voor je zo hoog van de toren blaast... 'Crimineel tuig' (incl. binnen overheden) heb je overal, ook in Nederland. Dat men binnen Israël enorm veel aan (en met) spionage doet is een feit en niet 'enkel een verzinsel van mij om zo Israël zwart te kunnen maken'. Dat 'ik andere landen (Nederland of andere) beter zou vinden' verzin je er terplekke bij en is volstrekt onzin.

Skit3000

@HuisRocker • 24 juni 2025 15:53

'crimineel tuig' (waaronder ook overheden,

Je stelt hier zelf overheden gelijk aan crimineel tuig.

Het is zeker niet "toevallig" dat Paragon Israëlisch is!

Met het woord "toevallig" tussen aanhalingstekens geef je aan dat dit voor jou de enige mogelijke conclusie is en dat dit bedrijf nooit Amerikaans, Chinees of Nederland zou kunnen zijn.

Misschien bedoelde je het anders, maar zo heb je het wel opgeschreven.

HuisRocker @Skit3000 • 24 juni 2025 16:58

Gast... Jij gebruikt "toevallig" in de post waarop ik reageer, vandaar de aanhalingstekens. Dat jij er vanalles bij gaat verzinnen is NIET mijn probleem!

Skit3000

@HuisRocker • 24 juni 2025 17:08

Het is zeker niet "toevallig" --> Wat is het dan wel?

HuisRocker @Skit3000 • 24 juni 2025 17:30

Dat leg ik uit in diezelfde post, dat jij duidelijk moeite hebt met het feit dat Israël 'kampioen spionage' is kan mij echt niet boeien en het betekent al helemaal niet 'meer dan dat' omdat jij 'zo goed tussen de lijntjes denkt te kunnen lezen'.

https://tweakers.net/nieu...ationaal-strafhof-af.html

locke960 @wow7 • 23 juni 2025 20:45

Die spyware valt het OS aan. Als je daarmee te maken krijgt maakt het niet zoveel meer uit welke app je gebruikt.

Only @FeareX • 23 juni 2025 18:58

Ik weet niet hoe het bij andere overheidsdiensten gesteld is, maar de politie mag whatsapp ook niet gebruiken op diensttelefoons..

PalingDrone @Only • 23 juni 2025 20:02

Mmmja.
Maar er wordt wel gretig gebruik van Whatsapp gemaakt in hun communicatie, je vraagt je af wat voor signaal (pun intended) hier dan mee afgegeven wordt.
https://www.security.nl/p...sApp-kanaal+voor+inwoners

MooDyBLueS @PalingDrone • 23 juni 2025 20:38

Sowieso is ook de hele Whatsapp buurtpreventie echt te belachelijk voor woorden. Dat één zo'n commercieel bedrijf door Nederlandse gemeenten en/of de overheid zomaar toegestaan wordt om als officieel communicatiemiddel te dienen voor zo'n beetje heel Nederland met een letterlijk uithangbord.

Gé Brander @MooDyBLueS • 23 juni 2025 23:23

Op zich met je eens, maar wat voor alternatief is er dan wat wel voldoet volgens jou?

MadEgg @Gé Brander • 24 juni 2025 05:19

Gewoon “Buurtpreventie” op de borden zetten? Wat heb je eraan dat er een WhatsApp logo op staat? Het is niet alsof er een QR-code op die borden staat waarmee je in de groep kunt komen ofzo… het is vooral een waarschuwing voor volk met minder goede bedoeningen. Ik denk niet dat die banger worden van een WhatsApp-logo.

Tintel

Politiek en recht

@MadEgg • 24 juni 2025 11:00

Idd. Het was gewoon lekker hip om dat erbij te zetten of....ergens is wat 'geregeld'....

Gé Brander @MadEgg • 24 juni 2025 12:13

Ah zo, ik dacht even dat je bedoelde dat het gebruik van WhatsApp voor communicatie een issue is. Zo begrijp ik hem.

Alex3 @MooDyBLueS • 24 juni 2025 09:35

Buurtpreventie wordt niet door de overheid geregeld. Groepen worden door bewoners zelf gevormd.

MooDyBLueS @Alex3 • 27 juni 2025 15:05

Het ging me meer om het volgende (als voorbeeld): https://www.gemeentelandvancuijk.nl/whatsapp-buurtpreventie#whatsapp-buurtpreventie-borden

Krommetenen @FeareX • 23 juni 2025 18:34

Ik zou een uitspraak van een fantast voor het gebruik van een gratis app niet ophemelen als een “klap”.

Maar inderdaad. Met name prive chats en werk chats in een lijst… Groepen, en alle ballen naar justitie in de VS. Het blijft een hot topic.

Aerophobia1 @FeareX • 23 juni 2025 23:43

Wat ik weet van Whatsapp is dat als je niet 1 van de appraten (sleutel) hebt je er niks mee kan.
Het is echt goed versleuteld.
Veel van die criminelen die dachten veilig te zijn door een speciale telefoon met eigen netwerk te nemen waren niet gepakt als ze gewoon whatsapp hadden gebruitk.
Een moderne Apple phone hacken is makkelijker, daar zijn heel dure kits voor te koop.
Voor de techheads op Justitite dan, anders kun je die sets niet bestellen (uit israel).

Die_ene_gast @Aerophobia1 • 24 juni 2025 09:18

Veel van die criminelen die dachten veilig te zijn door een speciale telefoon met eigen netwerk te nemen waren niet gepakt als ze gewoon whatsapp hadden gebruitk.

Bron graag.

MehHuntah 23 juni 2025 18:58

Het kan natuurlijk ook omgedraaid zijn.

Als whatsapp echt end-to-end encryptie heeft, kan Huis van afgevaardigden bij meta gaan klagen wat ze willent, dat ze communicatie tussen hun medewerkers wilt inzien, Maar Meta kan dan niet leveren.

Dus mischien is whatsapp wel te goed beveiligd..

Er is natuurlijk ook nog 'Meta' (no pun intended) informatie.. dus wie op welk moment een berichtje heeft gestuurd naar wie.. dat zou meta dan wel kunnen hebben. Ik weet niet hoe goed ze met die informatie omgaan.

Maar lang verhaal kort: end-to-end encryptie is de vijand van iedere overheid die zijn burgers wil controlleren.

mie9iel @MehHuntah • 23 juni 2025 19:16

"End-to-end" slaat op het encrypten van de verbinding. De in het artiekel genoemde "at-rest" encryptie slaat op wat zonder encryptie op je telefoon wordt bewaard.

SinergyX @MehHuntah • 23 juni 2025 19:16

een gebrek aan transparantie over de bescherming van gebruikersgegevens
Het gaat niet hier enkel om end to end, dat zal prima zijn, maar wat gebeurd er met de data 'buiten' deze end-to--end? Wat doet Facebook met de tekst die je typt, de foto's die je deelt, de gps/tags/etc bij het gebruik? Immers, reclame is onderweg in WA, dus ergens moet er data zijn die de juiste advertenties laat zien.

MooDyBLueS @MehHuntah • 23 juni 2025 20:43

Oh nee hoor. Zoals hieronder ook aangegeven wordt, data at rest is niet versleuteld. Daarnaast is de door jou ook al aangehaalde metadata nog veel belangrijker.

Als moordenaar hoef je ook niet op heterdaad (=de letterlijke inhoud van een bericht) betrapt te worden om met zekerheid te kunnen vaststellen dat je die moord hebt gepleegd. Zo ook hier: als de politie weet dat Piet een drugsdealer is en ik wissel (niet te lezen) berichten met Piet uit, ben vervolgens een paar minuten op dezelfde dodgy locatie als Piet zonder andere gps fixes op dat moment in de buurt, dan is er een aan zekerheid grenzende waarschijnlijkheid dat ik drugs van Piet heb gekocht.

De E2E is dus een wassen neus tot op zekere hoogte.

Die_ene_gast @MooDyBLueS • 24 juni 2025 09:21

Als moordenaar hoef je ook niet op heterdaad (=de letterlijke inhoud van een bericht) betrapt te worden om met zekerheid te kunnen vaststellen dat je die moord hebt gepleegd. Zo ook hier: als de politie weet dat Piet een drugsdealer is en ik wissel (niet te lezen) berichten met Piet uit, ben vervolgens een paar minuten op dezelfde dodgy locatie als Piet zonder andere gps fixes op dat moment in de buurt, dan is er een aan zekerheid grenzende waarschijnlijkheid dat ik drugs van Piet heb gekocht.

Of Piet is een maatje van je en je gaf hem een lift want zijn auto was kapot. De junk zonder telefoon die langs kwam lopen en cash betaalde, nam de drugs mee.

Dus zo zeker vind ik het niet hoor. Jouw aanname gaat ervan uit dat iedereen altijd een telefoon bij zich heeft die aanstaat e.d.

MehHuntah @MooDyBLueS • 11 juli 2025 20:42

Wie zegt dat jij geen affaire met piet had, en in een steegje met Piet van bil wou gaan.. Als de omgang met iemand die drugs verkoopt al tot een veroordeling leid denk ik dat de helft van nederland in de gevangenis beland.

wooha @MehHuntah • 24 juni 2025 00:19

Het kan natuurlijk ook omgedraaid zijn.

Als whatsapp echt end-to-end encryptie heeft, kan Huis van afgevaardigden bij meta gaan klagen wat ze willent, dat ze communicatie tussen hun medewerkers wilt inzien, Maar Meta kan dan niet leveren.

Dus mischien is whatsapp wel te goed beveiligd..

Hoe strookt die suggestie met het feit dat de cao Teams, Wickr, Signal, iMessage en FaceTime aanraadt als alternatief? Kan het Huis van Afgevaardigden daar wel de communicatie tussen hun medewerkers van krijgen?

SilkensJ 23 juni 2025 18:34

Zo bijzonder is dat niet, bij veel bedrijven mag je enkel de communicatietools gebruiken die zij aanbieden voor werkgerelateerde communicatie. Bijv Teams

Sissors @SilkensJ • 23 juni 2025 18:39

Nou ja, het is best wel bijzonder gezien expliciet random andere apps wel toegestaan zijn. Waarbij het niet duidelijk is waarom Whatsapp niet mag, en die wel mogen.

mcDavid @Sissors • 23 juni 2025 18:58

Het enige wat ik kan bedenken is de recente ontdekking dat Meta alle tracking voorkeuren volledig omzeilde, maar dan zou je verwachten dat alle Meta apps op de lijst zouden staan.

Voelt idd als een erg random besluit.

YGDRASSIL

@Sissors • 23 juni 2025 22:51

Er wordt gezegd waarom whatsapp niet mag. Degene die wel mogen zijn op de genoemde gebieden dus beter volgens de cao.

jameskond @Sissors • 24 juni 2025 00:26

Het Huis van Afgevaardigden is vaker beter geinformeerd over zulke dingen dan je denkt.

Als zij het al niet vertrouwen, met hun kennis, waarom zouden de doorsnee burgers dat wel?

Finraziel

@SilkensJ • 23 juni 2025 19:23

Ik mag gevoelige informatie (en bijna alles is dat) ook niet versturen via externe diensten, maar dat is iets anders dan het helemaal niet er op mogen hebben staan. Dat is volgens mij wel minder gebruikelijk, maar goed voor overheid/politici die een stuk interessanter zijn als spionage doelwit vind ik het minder gek.

davince72 23 juni 2025 18:49

Best bijzonder allemaal. Niet dat ik whatsapp nou vertrouw, maar als je dit als overheid besluit, waarom dan geen uitgebreid rapport naar buiten brengen?
Nu klinkt het wel heel basic.....doordat Meta niet transparant is met info is het onveilig

Volgens diezelfde redenering zou ik die andere ook niet vertrouwen idd.

Misschien kan Meta terugslaan door bekend te maken of zijn nu wel/niet een backdoor voor de overheid hebben moeten inbouwen. Dat is ook transparantie ;-)

[Reactie gewijzigd door davince72 op 23 juni 2025 18:50]

0siris 23 juni 2025 23:02

Werknemers die voor het Amerikaanse equivalent van de Tweede Kamer werken mogen de app niet meer op hun werktelefoon of -computer gebruiken. Als WhatsApp al geïnstalleerd is, moet de applicatie verwijderd worden

Dat klinkt wel heel vrijblijvend allemaal. Ik neem aan dat die werktelefoons onder toezicht van MDM software staan? Zo nee, zou ik daar mee beginnnen. Maar wie ben ik

Jeffrey88 23 juni 2025 18:33

Daar verkiezen ze om zeer belangrijke informatie via Signal met elkaar te communiceren, beetje boter op het hoofd dat ze selectief maar diensten wel of niet accepteren. Had dan een volwaardig alternatief gemaakt die alleen is bedoeld voor overheid medewerkers.

*Correctie in naam Chatdienst,

[Reactie gewijzigd door Jeffrey88 op 24 juni 2025 13:10]

readefries

@Jeffrey88 • 23 juni 2025 18:38

Dat kan met Matrix, iets wat de Franse en Duitse overheden ook gebruiken.

Noxious @Jeffrey88 • 23 juni 2025 18:45

Als je doelt op het recente schandaal, dat ging om Signal, niet Telegram.

En zelfs dat was niet standaard Signal maar een Israëlische fork welke niet goed beveiligd bleek.

Maarten69 @Jeffrey88 • 23 juni 2025 18:45

Dat was ondanks je correctie; Signal

usr-local-dick 23 juni 2025 20:15

Ben ik de enige die Szpindor als Spindoctor leest?

david-v

23 juni 2025 20:49

de afwezigheid van at rest versleuteling

En daarmee bedoelen ze de metadata? Of de status informatie? Want berichten onderling zijn e2e encrypted, die zijn versleuteld at rest op de server totdat het bericht afgeleverd kan worden

Op het device kan je die berichten ook niet zomaar lezen. Tenzij je WhatsApp opent

[Reactie gewijzigd door david-v op 23 juni 2025 20:50]

Arjan P @david-v • 24 juni 2025 01:22

Op het device kan je die berichten ook niet zomaar lezen. Tenzij je WhatsApp opent

Of tenzij je eigenaar van de app bent en Meta heet..

david-v

@Arjan P • 24 juni 2025 07:53

Dan ook niet, in principe. We zullen het nooit zeker weten omdat we de bron code van WhatsApp niet kunnen inzien helaas

Tintel

Politiek en recht

@david-v • 24 juni 2025 11:04

Inmiddels zou ik zeggen (gezien het trackrecord van Meta - pun not intended) dat ze in principe niet te vertrouwen zijn en dus meelezen....

Rembert 24 juni 2025 12:47

Signal en WhatsApp gebruiken beiden het Signal protocol voor de end-to-end protectie. Data at rest is wel een dingetje bij WhatsApp: niet de bericht data maar bv. wel meta-data, gebruikersinfo, groepsinfo en contacten (al zijn de contacten wel gehashed). Daarnaast zijn backups van WhatsApp niet default E2EE, bij Signal wel. Ander puntje,Signal is open source terwijl bij WhatsApp alleen de gebruikte encryptie open source is (cynische hoed op: je moet er dan maar op vertrouwen dat die code ook echt en ongewijzigd is gebruikt, zonder backdoor).

Al met al, ik had zo'n besluit eerder bij Europese overheden verwacht.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (79)

Sorteer op:

Weergave: